Linux入侵排查思路

已于 2024-07-01 13:03:02 修改
阅读量779 收藏 16
点赞数 14
文章标签: linux 运维 服务器 网络安全
于 2024-07-01 13:02:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80462925/article/details/140093833
版权

目录

一、账号安全

查看所有的账号

只查看远程登陆的账号

二、历史记录

当前用户历史命令

history

查看最近的n条记录

history n

修改默认保存历史记录数量

1.vim /etc/profile

查看指定账号的历史记录

cat /home/用户/.bash_history

cat ~用户/.bash_history

找到删除的历史命令

history -c

cat .bash_history

cat /home/用户名/bash_history

三、端口

使用网络链接命令,分析可以端口

netstat -antup

四、进程

使用ps命令,分析进程

ps aux | grep pid

kill 指定pid

五、开机启动项

系统运行级别示意图

查看运行级别命令

runlevel

查看启动项

六、定时任务

查看定时任务

crontab -l

七、服务

查询已安装的服务

RPM包安装的服务

chkconfig --list

八、系统日志

系统默认日志记录

和定时任务相关的日志

一、账号安全

查看账号及登陆情况

查看账号情况,这个运维会比较清楚,寻找是否存在可以账号,特别关注远程连接的账号。

查看所有的账号

cat /etc/passwd

/bin/bash 是我远程登陆的

/sbin/nologin 是不允许登陆,即便有密码也不行

只查看远程登陆的账号

cat /etc/passwd | grep /bin/bash

二、历史记录

通过 .bash_history查看账号执行过的系统命令

当前用户历史命令
history

查看最近的n条记录
history n

修改默认保存历史记录数量
1.vim /etc/profile

2.修改HISTSIZE

默认的是1000我这里修改成了5000

查看指定账号的历史记录
cat /home/用户/.bash_history

也可以这样

cat ~用户/.bash_history

找到删除的历史命令
history -c

使用history -c清除历史命令,好似清干净了,其实并不是的。

cat .bash_history

同理指定用户

cat /home/用户名/bash_history

三、端口

使用网络链接命令,分析可以端口

netstat -antup

查看指定PID对应的进程文件路径(通过可疑端口找到进程),找到路径如果确定是恶意的,可以杀除。

ls -l /proc/指定pid/exe 或者 ls -l /proc/指定pid/file

四、进程

使用ps命令,分析进程

ps aux | grep pid

kill 指定pid

因为杀了进程2106所有,这里断开连接了。

五、开机启动项

系统运行级别示意图

运行级别
含义
0
关机
1
单用户模式,可以想象为 windows 的安全模式,主要用于系统修复
2
不完全的命令行模式,不含 NFS 服务
3
完全的命令行模式,就是标准字符界面
4
系统保留
5
图形模式
6
重启动

查看运行级别命令

runlevel

查看启动项

systemctl list-unit-files --type=service | grep enabled

六、定时任务

查看定时任务

crontab -l

七、服务

查询已安装的服务

RPM包安装的服务
chkconfig --list

八、系统日志

系统默认日志记录

/var/log/

和定时任务相关的日志

cat /var/log/corn

生活白帽子
关注
  • 14
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux手工入侵排查思路
04-19 683
Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...
Linux 入侵排查
学-> 思->用
11-19 226
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查思路
Linux应急响应入侵排查思路
weixin_50815573的博客
04-24 750
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查思路。 0x01 入侵排查思路 一、账号安全 基本使用: 1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/b
Linux入侵排查
Naive的博客
10-22 1106
应急响应指遇到重大或突发事件后所采取的措施和行动,应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。
Windows以及Linux入侵排查
qq_60600840的博客
06-03 686
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
Linux入侵问题排查思路
qq_41453632的博客
06-12 1349
一、检查隐藏账户及弱口令 1. 检查服务器系统及应用账户是否存在 弱口令: 检查说明:检查管理员账户、数据库账户、MySQL 账户、tomcat 账户、网站后台管理员账户等密码设置是否 较为简单,简单的密码很容易被黑客破解。 解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码。 风险性:高 2. 使用 last 命令查看下服务器近期登录的账户记录,确认是否有可疑 IP 登录过机器...
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
君逍遥o
03-27 1244
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
应急响应--linux入侵排查思路
xianjie0318的博客
07-09 538
1、账号安全 1)用户信息文件 /etc/passwd 用户名:密码:用户ID:组ID:用户说明:用户目录:登录之后shell root:x:0:0:root:/root:/bin/bash test:x:1000:1000::/home/xian:/bin/bash 2)影子文件/etc/shadow 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留 root:$6$8V2B8VStux7nabG4$Z
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux入侵排查.docx
05-07
0x01 入侵排查思路 ### 账号安全 Linux 系统中的账号安全是入侵排查的重要一环。通过检查账号信息、shadow 文件、历史命令等,可以检测到可能的入侵行为。 * 账号信息文件 `/etc/passwd`:存储用户信息,包括...
linux系统入侵排查
03-29
描述了ddos,ssh爆破,挖坑,勒索病毒在Linux上的入侵排查思路以及方法
Linux 应急响应流程及实战演练1
08-03
本文将围绕Linux服务器的应急响应,特别是入侵排查思路进行讲解。 首先,我们需要关注的是账号安全。在Linux系统中,用户信息主要存储在`/etc/passwd`和`/etc/shadow`文件中。`/etc/passwd`文件包含了用户名、密码...
windows和linux日常安全安全巡检.pdf
08-17
【文章摘要】:本文主要探讨了Windows和Linux操作系统在日常运维中的安全巡检方法,包括入侵排查思路、系统账号安全、异常端口和进程检查、启动项、计划任务和服务审查。通过这些步骤,可以有效地预防和应对潜在的...
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
weixin_73359101的博客
07-14 1671
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
linux的学习(四):磁盘,进程,定时,软件包的相关命令
weixin_45037073的博客
07-14 1129
关于磁盘管理,进程管理,定时任务,软件包管理的命令的使用。
定制 Linux 内核的意义
地球空间
07-17 250
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
linux dev shm扩容
hello__bug的博客
07-14 257
ctrl + x 保存。
Linux编辑器——vim的使用
最新发布
大学生一枚
07-18 276
原理:vim并不是直接执行,执行前会读取一些文件,比如.vimrc 我们把需要配置的指令写在.vimrc文件中,然后vim执行时就会读取.vimrc文件,配置一些功能,比如行号,自动缩进,自动补齐,代码提示等等;n+shift+x:可以删除光标之前的一个字符,n:一次可以删除n个,在一行以内。n+x :可以删除光标后面的一个字符,n:一次可以删除n个,在一行以内。:控制光标的移动,字符的输入,删除,复制粘贴等等,有一些相关的指令;n+shift+g=nG:将光标定位到整个文本的任意一行,
linux入侵排查思路
04-24
好的,我理解你的要求。针对Linux入侵,可以采取以下排查思路: 1. 检查系统日志,包括 /var/log/messages、/var/log/auth.log、/var/log/secure 等,查看是否存在异常登录、权限变更等记录。 2. 执行系统安全性检查工具,如 Lynis、Rootkit Hunter、Chkrootkit 等,检查系统是否存在漏洞或已被入侵。 3. 检查系统进程、网络连接等情况,使用工具如 ps、netstat、lsof 等,寻找不正常的进程、连接。 4. 扫描系统快照、备份等,对比系统当前状态,查找异常变更。 5. 分析系统文件,使用工具如 md5sum、sha256sum 等,查看文件是否被篡改。 6. 部署安全审计工具,如 SELinux、AppArmor 等,进行安全防护和监测。 以上是一些常见的排查思路,不同情况下可能需要不同的方法和工具。希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值